OTA 技术的规模化应用推动了汽车、通信、大数据、安全等跨领 域行业组织及社会团体的标准制定工作。
强制性国家标准 GB《汽车软件升级通用技术要求》报批稿规定了汽车软件 升级的管理体系要求、车辆要求、试验方法、车辆型式的变更和扩展、说明书。 该标准预计 2024 年实施,实施后将可能成为具备 OTA 功能的汽车产品的准入强 检依据。 UN R156 和国标对整车企业的软件升级管理体系(SUMS)建设和型式认证 方面提出了具体要求。UN R156 法规中,要求车型需要具有 RXSWIN,相同描 述在国标中被定义为软件识别码(SWIN)。国标中对 SWIN 的定义为由车辆制造商定义,用于表示与准入或认证相关系统中软件信息的专用标识符。其中 UN R156 和国标在 SUMS 体系建设方面的要求基本相同,在车辆型式认证中,针对 车辆要求中在线升级附加要求国标新增了两种规定,以及车辆要求的试验方法。
2017 年 3 月,国际电信联盟电信标准分局(ITU-T) 发布建议书(标准) X.1373 《智能交通系统通信设备的安全软件更新功能》并在 2022 年进行修订。 本标准首先提出软件升级通用车载模型包括信息设备、电子控制单元 (ECU) 和 车辆移动网关 (VMG)等,以及软件升级通用过程。之后定义软件升级的传输消 息类型和格式。2022 年修订版本提出了三种软件升级的主要威胁和针对三种威 胁的安全要求并在附录中做出详细解释。三种威胁包括:对升级软件的损坏、拒 绝服务攻击、更新过程受损和恶意入侵。 2021 年 10 月,全国汽车标准化技术委员会(以下简称“汽标委”)发布了 GB/T 40855-2021《电动汽车远程服务与管理系统信息安全技术要求及试验方法》。本 标准在 GB/T 32960 -2016《电动汽车远程服务与管理系统技术规范》(3 部分)基 础上对车载终端内的硬件、固件、软件系统、数据存储、网络端口传输安全、远 程升级功能、日志功能的信息安全要求及试验方法做出规定。并提出平台间安全 通信协议、数据单元加密等要求。
2021 年 10 月,汽标委发布了 GB/T 40861-2021《汽车信息安全通用技术要 求》。本标准将保护对象分为车内系统和车外通信两大类,并阐述对应的保护要 求。本标准规定了软件升级活动应确保软件和近距离、远距离通信的真实性、保 密性、完整性、可用性、访问可控性、抗抵赖性、可核查性及可预见性。列举了 软件升级活动可能带来的固件覆写、升级包重放、非法软件安装及拒绝正常软件 升级等信息安全风险。 2023 年 10 月,强制性国家标准 GB《汽车整车信息安全技术要求》已提交 报批。报批稿中参考 UN R155 法规附录 5 以及 UN R156 法规中的信息安全相关 部分(表 A1 4.3.3 有关脆弱性/威胁的描述、漏洞及攻击方法示例,以及表 B2 中 有关的缓解措施)并基于国内行业发展现状,对“软件升级安全要求”提出具体技 术要求。
2023 年 10 月,中国通信标准化协会提出的行标《车联网在线升级( OTA )安 全技术要求与测试方法》已发布。该标准对 GB《汽车整车信息安全技术要求》 未涉及的车联网平台安全管理制定了推荐性要求,标准涵盖 OTA 云端服务平台 安全、通信链路安全、OTA 应用安全等方面的技术要求与测试方法。
2018 年,中国智能网联汽车产业创新联盟(CAICV,以下简称“创新联盟”) 发布的 T/CSAE 1010-2018《智能网联汽车车载端信息安全技术要求》和 2022 年 发布的 T/CSAE 252-2022《智能网联汽车车载端信息安全测试规程》共同规定了 车载信息交互系统的硬件、通信协议与接口、操作系统、应用软件、数据的信息 安全技术要求和试验方法。其中T/CSAE 1010-2018 提出了软件升级包来源鉴别、 身份认证、用户确认、安全工况下升级等的技术要求,而 T/CSAE 252-2022 提出 了对应的测试方法。 2022 年 8 月,创新联盟立项了团体标准 T/CASE《汽车软件升级信息安全测 试规范》。该项标准聚焦汽车 OTA 升级前的服务平台验证、升级中的访问控制 和密码技术应用,及升级后的处置过程中的测试方法,为车辆制造商、第三方检 测认证机构提供体系化、实操性强的测试认证依据,引领产业和企业的发展,提 升产品和服务的市场竞争力。
为规范缺陷汽车产品召回,全国产品缺陷与安全管理标准化技术委员会 (TC463)在《缺陷汽车产品召回管理条例》及其实施办法发布后,还陆续出台 了 GB/T 34402-2017《汽车产品安全 汽车风险评估与风险控制指南》GB/T 39603- 2020《缺陷汽车产品召回效果评估指南》、GB/T 40914-2021《汽车产品召回 预警 规则》、GB/T 41047-2021《汽车产品召回过程追溯系统技术要求》等国家推荐标 准。提出以风险评估方法衡量产品缺陷,以风险水平高低制定风险控制策略;以 召回活动实施、召回措施和召回活动满意度为召回效果评估依据;以风险等级、 召回效果评估、涉及生产者数量为启动预警依据等规定。为政府部门和生产者做 出决策和问题处理提供实用性指南。 2021 年 TC463 发布《基于远程升级技术的汽车产品召回实施要求》国标研 制计划,将基于远程升级技术的汽车产品信息备案与召回实施基本流程,提出“云 管端”等环节的技术实施规范,以及全流程的安全要求。
2023 年 2 月,国际标准化组织(ISO)发布 ISO 24089《道路车辆 软件升级工程》。ISO 24089 形成了一整套从管理到功能开发、再到开展升级的规范。该 标准首先规范软件升级的相关术语,建立软件升级活动相关参与方的沟通基础。 之后指导企业建立 OTA 支撑设施和车辆产品的软件升级功能。以及开发验证软 件升级包和实施软件升级相关的流程的规范。ISO 24089 发布后除指导企业实施 OTA 外,也可被认证机构采用,作为整车厂和供应商具备软件升级能力的认证 标准,支撑软件升级管理体系(SUMS)的落地实施。作为更加落地的标准,ISO 24089 除了重申 UN R156 中涉及 SUMS 认证和车辆型式审批等的要求,还考虑 了 OEM 与供应商协同开发的工作方式;软件升级带来的车辆功能安全风险和预 期功能安全风险;给出功能开发和升级活动中的不同示例等。UN R156 与 ISO 24089:2023 的映射关系见附件 1 自 2020 年起,日本汽车软件平台与架构标准化组织(JASPAR)陆续发布了 10 个 OTA 相关标准, 在 OTA 的管理流程、HMI、车端功能、数据等方面,建立 了一套较为全面的 OTA 标准体系,预计率先在日系车企中落地。
汽车开放系统架构(AUTOSAR)联盟设置了专门的工作组 WG-UCM (Update and Configuration Management)制定 OTA 相关标准,已发布版本为 R21-11 的 Requirements on Update and Configuration Management 和 Specification on Update and Configuration Management。UCM 标准定义 PackageManagement 服务接口,支 持 软 件 升 级 包 的 下 载 、 安 装 和 激 活 等 过 程 。 UCM Master 定 义 VehiclePackageManagement 服务接口,支持整车升级包的下载,并把整车升级包 拆分成软件升级包分发到相关的 UCM 模块,触发 UCM 的软件升级。UCM Master 还有支持用户确认及查询升级先决条件是否满足等功能。
基于 SOA 理念的电子电气架构开发,使互相分散的 ECU 及对应的功能以 模块化、标准化的方式集中在域控制器中,以服务的方式提供。各服务在交互过 程中通过标准化接口连接,使得远程升级变得更加方便,实现了软硬件分离。车 用操作系统作为运行于车内的程序集合,理论上全部支持更新的软件可通过远程 升级进行迭代,然而不同整车出于安全性、可靠性的考虑,以及服务之间存在的 耦合性,还不能发挥 OTA 的潜力。当前,车用操作系统主要分为车控操作系统 (安全车控操作系统、智能驾驶操作系统)和车载操作系统[13]。针对操作系统接 口及整车 OTA 关键共性技术的研发,将支持软件的持续更新、海量关键信息流 的高数据通讯、车路云多源算力分配,创造“常用常新”的全生命周期用车体验。 智能网联汽车逻辑语义及设备服务接口标准见下。 2021 年 ISO 发布的 ISO 23150—2021《道路车辆 自动驾驶功能的传感器与 数据融合单元之间的数据通信逻辑接口》定义了车内环境感知传感器(例如,雷 达、激光雷达、摄像头、超声波)与融合单元之间的逻辑接口。并把逻辑接口分 为提供探测、技术特征、对象识别(例如,潜在移动对象、道路对象、静态对象) 以及传感器性能监测等接口。该标准在 2023 年开始新一轮修订,并于 2023 年 5 月开始实施。
2020 年 12 月,中国汽车工业协会成立软件定义汽车工作组对 SOA 软件架 构进行服务化分层解耦,将 SOA 软件架构分成应用层、原子服务层、设备抽象 层、基础平台层。2022 年 6 月 28 日 SDV 工作组发布《软件定义汽车服务 API 参考》V3.0 行业规范征求意见稿,包含原子服务 API 参考、设备抽象 API 参考 两部分。两部分标准分别定义车身控制、热管理、运动控制、能量管理、智驾域、 人机交互功能域的原子服务 API 接口和设备抽象 API 接口的功能和参数。 2020 年 4 月,创新联盟立项的 T/CSAE《智能网联汽车融合感知系统架构设计规范》、T/CSAE《智能网联汽车融合感知系统数据格式规范》、T/CSAE《智能 网联汽车融合感知系统数据服务规范》三项系列标准共同规定了自动驾驶多模态 融合感知系统可提供的算法组件以及对应数据服务接口、数据格式。 2023 年 6 月,创新联盟发布了 T/CSAE 《车控操作系统功能软件架构及接口 要求》在遵从国标《智能网联汽车车控操作系统技术要求及试验方法》的操作系 统功能软件总体架构的基础上,规定了功能软件面向应用软件提供的针对驾驶自 动化功能的配置接口、加载接口和数据交换接口的技术要求。并且可无缝接入符 合 ISO/FDIS 23150-2021 的感知数据。 2023 年 11 月,创新联盟报批了 T/CSAE《智能网联汽车设备抽象与感知服务 接口规范》。标准在借鉴 ISO 23150 基础上,突出各传感器的独立逻辑接口,规 定了车内传感器(单目智能摄像头、双目摄像头、激光雷达、4D 毫米波雷达等) 以及 V2X 设备(OBU 设备)的设备抽象服务和感知服务的接口规范。
